JC-STAR取得済み? EU CRAで追加対応が必要な6つの要求事項と認定代理人の論点
JC-STAR ★1認証はCRA要求事項の約30%をカバーします。SBOM、ENISA 24時間報告、EU適合性宣言、技術ファイル、CEマーキング、5年サポート。JC-STARでは対応できない6つのCRA要求事項に加え、第18条のEU認定代理人選任(任意)の判断軸と、実践的な移行ロードマップを解説します。
この記事の内容
JC-STARラベルを取得した日本メーカーの中には、EU CRAの対応もこれで完了と考えている方が少なくありません。
経済産業省(METI)とIPAが2025年3月に開始したJC-STARは、IoT製品のセキュリティ基準を可視化する制度として急速に普及しています。2025年10月時点で41社89件がラベルを取得しました。英国PSTI法との相互承認も実現し、シンガポールCLSとの相互承認も2026年6月に発効予定です。
しかし、EU CRA(サイバーレジリエンス法、EU規則2024/2847)との相互承認は交渉中であり、合意には至っていません。そして仮に相互承認が実現しても、JC-STARがカバーしていない要求事項が少なくとも6つ存在します。さらにCRA第18条のEU認定代理人選任(任意)も、運用設計上の判断対象として加わります。
本記事は、前回のCRA第14条解説記事で予告した「JC-STARとEU CRAの差分ガイド」です。JC-STAR取得済み、または取得を検討中の日本メーカーが、EU CRA対応に向けて何を追加で準備すべきかを具体的に解説します。
要約
- JC-STAR ★1はCRA要求事項の約**30%**をカバー(製品セキュリティのベースラインのみ)
- ★4まで取得してもSBOM、ENISA 24時間報告、EU適合性宣言、CEマーキング、技術ファイルは対象外
- METIはEUとの相互承認を交渉中だが、合意は未達
- JC-STARでは対応できない6つのCRA要求事項に加え、CRA第18条のEU認定代理人選任(任意)の判断が必要
- JC-STARの取得実績をCRA対応の土台として活用する実践ロードマップを提示
JC-STARの概要
JC-STAR(セキュリティ要件適合評価及びラベリング制度)は、経済産業省とIPAが2025年3月25日に運用を開始したIoT製品向けのセキュリティラベリング制度です。
4段階のレベル構成:
| レベル | 評価方式 | 対象 | 要件数 |
|---|---|---|---|
| ★1 | 自己宣言 | 全IoT製品共通ベースライン | 16要件 |
| ★2 | 自己宣言 | 製品カテゴリ別要件 | ★1 + カテゴリ固有 |
| ★3 | 第三者評価 | 製品カテゴリ別(客観評価) | ★2 + 追加要件 |
| ★4 | 第三者評価 | 最高レベル | 最も厳格 |
★1の申請費用は198,000円(税込、早期申請は110,000円)。有効期間は2年間。★1の16要件はETSI EN 303 645をベースとし、デフォルトパスワードの禁止、安全な通信、暗号化、ソフトウェア更新メカニズム、脆弱性開示ポリシーなどの基本的なセキュリティ要件を規定しています。
★2以上の申請受付は2026年1月以降に順次開始予定です。
相互承認の現状:
| 相手国・制度 | 状況 | 発効日 |
|---|---|---|
| 英国 PSTI法 | 協力覚書(MoC)署名済み | 2026年1月1日〜 |
| シンガポール CLS | 協力覚書(MoC)署名済み | 2026年6月1日〜 |
| EU CRA | 交渉中 | 未定 |
CRA概要:JC-STAR取得者向け
EU CRA(EU規則2024/2847)は、デジタル要素を含む全製品に対しEU市場投入の条件としてサイバーセキュリティ要件を義務付ける規制です。JC-STARが任意の認証制度であるのに対し、CRAは法的義務です。
2つの期限:
- 2026年9月11日:脆弱性・インシデント報告義務の発効(第14条の詳細は前回記事を参照)
- 2027年12月11日:全要求事項の完全適用(SBOM、CE認証、技術ファイル等)
違反時の制裁: 最大1,500万ユーロまたは全世界売上高の2.5%
JC-STARとCRAの根本的な違いは、JC-STARが製品のセキュリティ特性を評価するのに対し、CRAは製品セキュリティに加えてライフサイクル全体の義務(脆弱性管理、当局報告、技術文書、適合性評価)を課す点にあります。
直接比較:JC-STAR ★1 vs CRA 要求事項
pie title JC-STAR ★1 による CRA要求事項のカバー率
"JC-STARでカバー済み" : 30
"部分的にカバー" : 10
"JC-STARで未対応(ギャップ)" : 60
以下の表は、JC-STAR ★1の要件とCRA附属書Iの要求事項を対照したものです。
| 要求事項 | JC-STAR ★1 | CRA附属書I | 状況 |
|---|---|---|---|
| デフォルトパスワードの禁止 | 要件あり | 第13条第4項(a) | ✅ カバー |
| 安全な通信(暗号化) | 要件あり | 附属書I Part I (3)(d) | ✅ カバー |
| 保存データの暗号化 | 要件あり | 附属書I Part I (3)(d) | ✅ カバー |
| ソフトウェア更新メカニズム | 要件あり | 附属書I Part I (3)(b) | ✅ カバー |
| 脆弱性開示ポリシー | 要件あり | 第13条第8項 | ✅ カバー |
| 攻撃面の最小化 | 要件あり | 附属書I Part I (3)(a) | ✅ カバー |
| データ最小化 | 言及あり | 附属書I Part I (3)(e) | ⚠️ 部分的 |
| アクセス制御 | 基本要件 | 附属書I Part I (3)(c) | ⚠️ 部分的 |
| SBOM(機械可読) | なし | 第13条第4項 | ❌ ギャップ |
| ENISA 24時間報告 | なし | 第14条 | ❌ ギャップ |
| EU適合性宣言(EU DoC) | なし | 附属書V | ❌ ギャップ |
| 技術ファイル(附属書VII) | なし | 附属書VII | ❌ ギャップ |
| CEマーキング | なし | 第28条 | ❌ ギャップ |
| 5年間セキュリティサポート | なし | 第13条第9項 | ❌ ギャップ |
| EU認定代理人 | なし | 第18条第1項 | 任意(要検討) |
重要: JC-STAR ★1の「✅ カバー」は、JC-STARの取得実績がCRA対応のエビデンスとして活用可能であることを意味します。CRAへの自動的な適合を意味するものではありません。
JC-STARでは対応できない6つのCRA要求事項とEU認定代理人(任意)
flowchart TB
subgraph JC["JC-STAR ★1 がカバーする領域"]
A["デフォルトパスワード禁止"]
B["暗号化通信"]
C["更新メカニズム"]
D["脆弱性開示ポリシー"]
E["攻撃面の最小化"]
end
subgraph GAP["CRA固有の要求事項(ギャップ)"]
G1["❌ SBOM(機械可読)"]
G2["❌ ENISA 24時間報告"]
G3["❌ EU適合性宣言"]
G4["❌ 技術ファイル"]
G5["❌ CEマーキング"]
G6["❌ 5年間サポート"]
G7["EU認定代理人(任意)"]
end
JC -.->|"約30%カバー"| CRA["CRA全体要求"]
GAP -.->|"約60%が未対応"| CRA
❌ 1. SBOM(ソフトウェア部品表)
CRA第13条第4項は、製品に含まれるソフトウェアコンポーネントと依存関係を機械可読形式(CycloneDXまたはSPDX)で文書化し、技術ファイルに含めることを義務付けています。
JC-STARはソフトウェアの構成管理を要件としていません。ファームウェアに含まれるOSSライブラリの一覧を作成・維持する仕組みは、JC-STARの範囲外です。
必要な対応: SBOMの自動生成パイプラインを構築します。Syft、cdxgen等のツールを用い、ビルドプロセスに組み込みます。
❌ 2. ENISA 24時間早期警告
CRA第14条は、製品の脆弱性が積極的に悪用されていることを認識してから24時間以内にENISAへ早期警告を提出することを義務付けています。この要件の詳細と日本企業特有の課題(稟議文化との構造的矛盾)については、前回の記事で詳しく解説しています。
JC-STARは脆弱性開示ポリシーの策定を求めていますが、当局への報告義務やタイムラインの規定はありません。
必要な対応: 事前承認済み報告者の設定、24時間対応体制の構築、ENISA SRPへの登録。
❌ 3. EU適合性宣言(EU DoC)
CRA附属書Vは、製品がCRAの全要求事項に適合していることを製造業者が宣言する正式文書の作成を義務付けています。記載事項は附属書で規定されており、製品の識別情報、適用された整合規格、適合性評価手続きの結果等を含む必要があります。
JC-STARの適合ラベルはIPA発行の認証であり、EU法上の適合性宣言とは法的性質が異なります。
必要な対応: CRA附属書Vの要件に準拠したEU DoC文書を製品ごとに作成します。
❌ 4. 技術ファイル(附属書VII)
CRA附属書VIIは、製品の設計・開発に関する完全な技術文書の作成・保管(10年以上)を義務付けています。リスク評価、SBOM、テスト結果、適合性評価のエビデンスを含む包括的なパッケージです。
JC-STARの申請書類はチェックリスト形式の自己宣言であり、技術ファイルの詳細度とは大きく異なります。
必要な対応: CRA附属書VIIの要件を満たす技術ファイルのテンプレートと管理プロセスを確立します。
❌ 5. CEマーキング
CRA第28条は、全要求事項への適合を完了し、適合性評価手続きを経た製品にCEマーキングを貼付することを義務付けています。CEマーキングなしにEU市場に投入することはできません。
JC-STARの★ラベルはCEマーキングの代替にはなりません。
必要な対応: 適合性評価の完了後、CEマーキングの貼付プロセスを製造工程に組み込みます。
❌ 6. 5年間セキュリティサポート
CRA第13条第9項は、製品の市場投入後少なくとも5年間(製品の想定ライフサイクルが5年未満の場合はそのライフサイクル期間)、セキュリティ更新を提供し続けることを義務付けています。
JC-STARの適合ラベル有効期間は2年間です。ラベルの更新は可能ですが、制度として5年間のサポートコミットメントを要求していません。
必要な対応: 製品ごとにサポート期間を定義し、5年間のセキュリティ更新提供体制を文書化します。
7. EU認定代理人(Authorised Representative・任意)
CRA第18条第1項は、製造業者が書面による委任によりEU認定代理人を選任することができると定めており、選任は任意です。MDR第11条やRED第5条と異なり、CRA第18条には域外製造業者に対する選任義務の条項は存在しません。第18条第3項により、選任した場合の業務範囲は、EU適合宣言書と附属書VII技術文書の10年間保管、市場監視当局からの合理的要請への応答、リスク排除措置への協力に限られます。第18条第2項により、第13条に定める実体的なサイバーセキュリティ義務は委任対象から除外され、製造業者が最終責任主体として残ります。詳細はEU認定代理人とCRA第18条を参照してください。
JC-STARは日本国内の制度であり、EU域内の代理人に関する要件はありません。
実務上の選択肢: EU域内の単一窓口を設けることで、市場監視当局との対応を当地の言語と時間帯で処理できる利点があります。MDR・REDで既に代理人を委嘱している場合は、CRAスコープへの延長を含め運用を一体化する設計が現実的です。選任しない場合は、第18条第3項に相当する文書保管・当局対応・是正措置記録を製造業者本体(または第19条の輸入業者経由)で運用します。
相互承認の現状と限界
METIは国際的な相互承認を積極的に推進しています。
実現済みの相互承認:
- 英国 PSTI法:2025年11月6日にMoC署名。2026年1月1日から、JC-STAR ★1取得製品は英国PSTI法の3つの適合基準を満たすとみなされます。ただし、英国PSTI法はEU CRAとは別の法規制であり、PSTI相互承認はCRA適合を意味しません。
- シンガポール CLS:MoC署名済み。2026年6月1日から発効。
EU CRAとの相互承認: 交渉中。合意時期は未定。
重要: 仮にEU CRAとの相互承認が実現した場合でも、対象はCRA附属書Iの製品セキュリティ要件に限定される可能性が高い。SBOM、ENISA報告、EU DoC、CEマーキング、技術ファイルといったライフサイクル義務・規制手続きは相互承認の対象外となる見込みです。相互承認を待つのではなく、今から準備を進めるべきです。
JC-STARレベル別のCRA準備度
flowchart LR
subgraph S1["★1"]
P1["約30%\n製品セキュリティ\nベースライン"]
end
subgraph S2["★2"]
P2["約35-40%\nカテゴリ別\n追加要件"]
end
subgraph S3["★3"]
P3["約40-45%\n第三者評価で\n信頼性向上"]
end
subgraph S4["★4"]
P4["約45-50%\n最高レベル\n製品セキュリティ"]
end
subgraph MISSING["全レベル共通の未対応領域"]
M1["SBOM"]
M2["ENISA報告"]
M3["EU DoC"]
M4["CEマーキング"]
M5["技術ファイル"]
M6["5年サポート"]
M7["EU認定代理人"]
end
S1 --> S2 --> S3 --> S4
S4 -.->|"★4でも\nカバーされない"| MISSING
★4は製品セキュリティの観点で最も厳格な評価を受けるため、CRA附属書IのPart I(セキュリティ要件)への対応度は高くなります。しかし、CRAの義務の約半分を占めるライフサイクル要件・規制手続きは、どのレベルでも対応していません。
よくある質問
JC-STAR ★1の取得実績はCRA附属書VII技術ファイルに転用できますか?
部分的に転用できます。JC-STAR ★1の16要件のうち、デフォルトパスワードの禁止、暗号化通信、保存データの暗号化、ソフトウェア更新メカニズム、攻撃面の最小化、脆弱性開示ポリシーは、CRA附属書I Part Iに対応するエビデンスとして再利用可能です。ただしSBOM、EU適合宣言書、ENISA通報体制、CEマーキング、5年サポートはJC-STARの対象範囲外で、別途整備が必要です。CRA第18条第1項のEU認定代理人選任は任意ですが、選任する場合の業務範囲(第18条第3項:DoC・技術文書の10年間保管、当局対応、是正措置協力)もJC-STARではカバーされません。
JC-STAR ★4まで取得すればCRA適合性評価は不要になりますか?
不要にはなりません。JC-STARはどのレベルでも、CRA固有のライフサイクル要件・規制手続き(SBOM、ENISA報告、EU DoC、CEマーキング、技術ファイル、5年サポート)をカバーしません。★4は製品セキュリティの観点で最も厳格な評価ですが、CRA要求事項の約半分にあたるライフサイクル義務は依然として別途対応が必要です。CRA第18条のEU認定代理人選任(任意)も、選任する場合の業務範囲を含めJC-STARの対象範囲外であり、運用設計上は別途判断します。
METIが交渉中のEU CRA相互承認は、合意した場合どこまで適用されますか?
合意の対象はCRA附属書Iの製品セキュリティ要件に限定される見込みです。SBOM、ENISA報告、EU DoC、CEマーキング、技術ファイルといったライフサイクル義務・規制手続きは相互承認の対象外となる可能性が高く、製造業者は相互承認の進展を待たず、これらの整備を進める必要があります。
SBOMの形式はCycloneDXとSPDXのどちらを推奨しますか?
CRA第13条第4項は機械可読形式を求めますが、特定のフォーマットを義務付けません。実務上はCycloneDXが採用例の多い選択肢で、Syftやcdxgenなどのツールが充実しています。SPDXもISO/IEC 5962:2021規格として正式採用されており、双方とも要件を満たします。製品ライン全体で統一することが運用コスト上重要です。
EU認定代理人は日本国内法人でも務められますか?
務められません。CRA第3条第13号により、認定代理人はEU域内に設立された自然人または法人と定義されています。日本国内法人は同条の要件を満たさないため、日本本社が直接認定代理人を務めることはできません。なお、CRA第18条第1項により認定代理人の選任そのものは任意です。選任する場合は、EU域内に拠点を持つ既存子会社、法律事務所、または専門代理人サービス事業者を選定し、書面による委任契約を締結します。選定基準は24時間対応可否、ENISA SRPへの登録、市場監視当局対応能力です。
JC-STARラベル有効期限の2年とCRAの5年サポート義務はどう整合させますか?
JC-STARの2年更新サイクルとCRAの5年サポート義務は別建てで管理する必要があります。CRAは製品の市場投入から少なくとも5年間(製品の想定利用期間が5年未満の場合はその期間)のセキュリティ更新提供を義務付けます。JC-STARラベルの更新は2年ごとに継続し、CRA固有の5年サポートは別ポリシーとして明文化、契約・出荷仕様書に反映します。社内体制の設計に不安がある場合は無料アセスメントからご相談ください。
関連記事
CRAはあなたの製品に適用されますか?
6つの質問に答えるだけで、あなたの製品がEUサイバーレジリエンス法の適用範囲に該当するかどうかがわかります。2分以内で結果を確認できます。